Passwörter in Google Chrome speichern: praktisches Feature oder unterschätzte Gefahr?

Seit ein paar Tagen macht die Meldung die Runde, dass Passwörter, die mit dem Passwort-Manager in Chrome gespeichert werden, sehr einfach angezeigt werden können. Bug oder Feature? Was auch immer es ist, es ist nicht neu. Firefox führte zur Sicherheit bereits ein Master-Passwort ein, das eingegeben werden muss, bevor man die Passwörter angezeigt bekommt.

Chrome

Das Feature, sich Passwörter anzeigen lassen zu können, nutze ich seit dem Zeitpunkt, als die Passwortspeicher in die Browser Einzug hielten. Erlangt ein Fremder Zugriff auf meinen PC und somit die gespeicherten Passwörter, weil ich in Chrome noch angemeldet bin, ist dies vermutlich das kleinste Problem, das ich habe.

[werbung] Aber was ist nun dran? Hat Google hier tatsächlich geschlampt? Sollte es einem nicht bewusst sein, dass Passwörter mit wenigen Klicks aus einem angemeldeten Google-Konto einsehbar sind? Für mich ist das logisch, für Euch vermutlich auch, aber ist es das für Lieschen Müller ebenfalls? Hat man erst einmal Zugriff auf einen Chrome-Account, ist es eine Sache von Sekunden, sich die gespeicherten Passwörter über „chrome://settings/passwords“ anzeigen zu lassen.

Alternativen gibt es natürlich. LastPass oder 1Password seien hier genannt. Google wird daran auch nichts ändern. Kein Master-Passwort, weil man den Nutzern kein falsches Sicherheitsgefühl vermitteln will. Der Nutzer soll sich bewusst sein, in welchen Schwierigkeiten er steckt, falls jemand Zugriff auf sein System bekommt.

Nutzt Ihr das in den Browsern integrierte Passwort-Management oder setzt Ihr auf einen alternativen Dienst? Seht Ihr eine Gefahr im Verhalten des Chrome Browsers oder ist es nur ein Aufbauschen eines längst bekannten Umstandes?

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

*Mitglied der Redaktion 2013 bis 2019* Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

38 Kommentare

  1. Die Formulierung „speichere meine Passwörter in chrome“ ist entweder einfach schlampig oder schlichtweg unvollständig. Bei einem aktivierten Cloudabgleich – und wer hat den nicht aktiviert – werden offensichtlich alle Passwörter irgendwo in der Google Cloud gespeichert. Wer darauf alles zugreift sollte mittlerweile jedem bekannt sein. Das schwächste Glied in der Kette dürften aber weniger die PCs noch PRISM oder irgendwelche ermittelnden Ordnungswidrigkeitenhüter sondern eher Tabletts sein, denn dort verwenden nur die wenigsten Benutzer ein richtiges Anmeldepasswort sondern malen allenfalls Figürchen zum Login auf das Touchscreen, welche man hinterher anhand der Fettspur auch ohne Kriminaltechniker zu sein problemlos nachziehen kann.

  2. Ich fände für den Chrome eine Funktion wie z.B. bei Amazon gut, wo man nochmal seine Logindaten eingeben muss, wenn man in seinem Konto was tun mag.
    Sollte ja eigentlich nciht schwierig einzurichten sein…!

  3. richtig,
    wenn die Kennwörter unverschlüsselt im Browser liegen, werden Sie auch genau so auf dem Google-Server liegen. Somit sind meine Kennwörter für die NSA und Co. einfach abrufbar.
    Ich nutze wieder verstärkt Firefox und KeePass 😉

  4. @Dirk 14:59: Das ist nicht richtig. Chrome verschlüsselt die Passwörter einem aus dem Google-Kontenkennwort abgeleiteten Schlüssel, welches man bei der Einrichtung von Chrome-Sync angeben muss (optional auch die anderen gesyncten Daten, aber Passwörter immer).

  5. 1password über dropbox gesynct. sicher und komfortabel

  6. Ich finde es bedenklich, dass Trojaner/Malware und co auch direkt daraufzugreifen können, hat man sich mal was eingefangen.

  7. Das Fehlen der Master-Passwort Funktion ist (neben der Anzahl der verfügbaren Extensions) der einzige Grund, wieso ich noch nicht auf Chrome als Hauptbrowser umgestiegen bin.

    Bis Google es schafft die Passwörter verschlüsselt zu speichern bleibe ich bei Firefox.

  8. Leute, ihr verwechselt „verschlüsselt Speichern“ und „Maßnahmen, damit ein Benutzer die Daten nicht sehen kann“.

    Chrome verschlüsselt die gespeicherten Passwörter, sowohl lokal in der Datei im Filesystem (unter Windows vermutlich mittels DPAPI), und auch in der Cloud (mit dem Kontenkennwort).

    Die Aussage des Security-Menschen von Google ist: Für die überwiegende Mehrzahl der Benutzer (und das sind nicht die Leute, die dieses Forum lesen) ist es so wie es ist am besten. Zauber wie „Master-Kennwörter“, die ein Benutzer dann eingeben und sich merken muss, sind dem durchschnittlichen Benutzer nicht sinnvoll und werden, wenn sie erzwungen würden, eher schädliche Folgen haben (Funktion wird nicht benutzt, einfache Kennworte benutzt, …).

    Security is all about risk management.

  9. Also ich nutze die Passwortfunktion in Firefox mit Masterpasswort. Halte den Firefox aktuell und hoffe die Verschlüsselung hält stand.

    Die Passwörter werden auf alle Rechner (4 insgesamt, home, office, 2 Laptop) wie die Lesezeichen sehr bequem gesynct. Gleichzeitig kann ich komplizierte, lange und verschiedene Passwörter für die Zugänge nutzen.

    Sollte jemand Zugriff auf einen Rechner von mir haben, während ich angemeldt bin, muss in Firefox zur Anzeige der Passwörter erneut das Masterpasswort eingegeben werden.

  10. Ich verstehe die Aufregung ebenfalls nicht. Wenn ich meine Passwörter vor Fremden geheim halten will speicher ich sie nicht oder ich sperre meinen PC mit dem Benutzeraccount, wie das ja von den Chromeentwicklern vorgeschlagen wird.
    Das Masterpasswort wie bei Firefox verhindert meiner Meinung nach überhaupt nichts. Wenn ich in einer Sitzung das Passwort nämlich einmal eingegeben habe, bleibt es bis zu dessen Ende gespeichert, so dass ich es nicht erneut eingeben muss um mich auf Webseiten anzumelden. Wenn der Angreifer dann über die „Element untersuchen“-Funktion den Typ des Passwortfeldes von „password“ auf „text“ ändert wird es auch im Klartext angezeigt. Das einzige was mit dem Masterpasswort dann noch verhindert werden kann, ist das die komplette Liste der Seiten mit den gespeicherten Passwörtern angezeigt werden kann. Und bevor ich eine Firefox-Sitzung beende, um den Zugang zu meinen Passwörtern zu verhindern drücke ich doch lieber WIN+L und sperre den Benutzer.

  11. Bei Seiten bei denen man grosses Unheil anrichten kann, lass ich Chrome dass Passwort nicht speichern, soviel Hirnzellen sind noch da, dass ich die mir merken kann. 🙂

  12. xxx76tif62c7086bcb44911c083b says:

    Bin genau deshalb schon auf KeePass+ChromeIPass umgestiegen. Aber was ich wirklich scheiße an Chrome finde: Man kann keinen eigenen Synch Server betreiben. Oder weiß jemand doch wie das ginge?

    Würde mich freuen wenn mir da mal wer helfen könnte. =)

  13. @xxx76*
    Ich verwende momentan BitTorrent Sync um die KeePass Datenbank auf meinen Geräten synchron zu halten. http://labs.bittorrent.com/experiments/sync.html

    ChromeIPass muss ich mir auch mal anschauen. Benutze zur Zeit kein Browser Plugin.

  14. Ihr werdet euch doch wohl ein oder zwei Passwörter merken können, oder? Ich bin fast überall mit dem gleichen Passwort registriert und brauche es daher auch nicht im Browser zu speichern, da ich es eh auswendig kann. Von daher bin ich schon ziemlich sicher unterwegs, an mein Passwort kommt keiner ran!! ^^

    *ironie off*

  15. Also die Verwendung von einem oder zwei Passwörtern für alle Seiten sehe ich als sehr kritisch an. Des Öfteren werden schwach abgesicherte Seiten angegriffen und dann einfach die erbeuteten Benutzernamen und Passwörter auf anderen Seiten ausprobiert….

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.